貫徹落實數據出境安全評估辦法清新風2022年新制訂《數據出境安全評估辦法》PPT課件

1、學習解讀2022年新修訂的數據出境安全評估辦法主講人：XXX時間：20XX.XX數據出境安全評估辦法前言 數據出境安全評估辦法是為了規(guī)范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動，依據中華人民共和國網絡安全法、中華人民共和國數據安全法、中華人民共和國個人信息保護法等法律法規(guī)制定的辦法。 2022年7月7日，國家互聯網信息辦公室公布數據出境安全評估辦法，自2022年9月1日起施行。目錄辦法的出臺背景一辦法的主要內容二辦法的全文學習三辦法的出臺背景一辦法的出臺背景近年來，隨著數字經濟的蓬勃發(fā)展，數據跨境活動日益頻繁，數據處理者的數據出境需求快速增長。同時

2、，由于不同國家和地區(qū)法律制度、保護水平等的差異，數據出境安全風險也相應凸顯。數據跨境活動既影響個人信息權益，又關系國家安全和社會公共利益。世界上許多國家和地區(qū)相繼從本國、本地區(qū)實際出發(fā)，對數據跨境安全管理作了制度探索。制定出臺辦法是落實網絡安全法、數據安全法、個人信息保護法有關數據出境規(guī)定的重要舉措，目的是進一步規(guī)范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動。二辦法的主要內容1、辦法所稱數據出境活動是指什么？答：辦法所稱數據出境活動主要包括：一是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外。二是數據處理者收集和產生的數據存儲在境內，境外的

3、機構、組織或者個人可以訪問或者調用。2、哪些情形需要申報數據出境安全評估？答：辦法明確了4種應當申報數據出境安全評估的情形：一是數據處理者向境外提供重要數據。二是關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息。三是自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息。四是國家網信部門規(guī)定的其他需要申報數據出境安全評估的情形。3、數據出境安全評估主要評估哪些內容？答：數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險，主要包括以下事項：一是數據出境的目的、范圍、方式等的合法性

4、、正當性、必要性。二是境外接收方所在國家或者地區(qū)的數據安全保護政策法規(guī)和網絡安全環(huán)境對出境數據安全的影響；辦法的主要內容境外接收方的數據保護水平是否達到中華人民共和國法律、行政法規(guī)的規(guī)定和強制性國家標準的要求。三是出境數據的規(guī)模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險。四是數據安全和個人信息權益是否能夠得到充分有效保障。五是數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務。六是遵守中國法律、行政法規(guī)、部門規(guī)章情況。七是國家網信部門認為需要評估的其他事項。4、為了規(guī)范數據出境安全評估活動，辦法明確了哪些具體流程

5、？答：辦法明確了數據出境的具體流程。一是事前評估，數據處理者在向境外提供數據前，應首先開展數據出境風險自評估。二是申報評估，符合申報數據出境安全評估情形的，數據處理者應通過所在地省級網信部門向國家網信部門申報數據出境安全評估。三是開展評估，國家網信部門自收到申報材料之日起7個工作日內確定是否受理評估；自出具書面受理通知書之日起45個工作日內完成數據出境安全評估；情況復雜或者需要補充、更正材料的，可以適當延長并告知數據處理者預計延長的時間。四是重新評估和終止出境，評估結果有效期屆滿或者在有效期內出現本辦法中規(guī)定重新評估情形的，數據處理者應當重新申報數據出境安全評估。辦法的主要內容已經通過評估的數

6、據出境活動在實際處理過程中不再符合數據出境安全管理要求的，在收到國家網信部門書面通知后，數據處理者應終止數據出境活動。數據處理者需要繼續(xù)開展數據出境活動的，應當按照要求整改，整改完成后重新申報評估。5、評估過程中如何保障數據處理者的商業(yè)秘密等合法權益？答：辦法規(guī)定了參與安全評估工作的相關機構和人員對在履行職責中知悉的國家秘密、個人隱私、個人信息、商業(yè)秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供、非法使用。6、辦法還明確了哪些規(guī)定？答：除了上述評估內容、具體流程、保密要求等管理措施以外，辦法還明確了國家網信部門負責決定是否受理安全評估，并根據申報情況組織國務院有關部門、省

7、級網信部門、專門機構等開展安全評估。省級網信部門負責接收數據出境安全評估申請材料，并完成完備性查驗。任何組織和個人發(fā)現數據處理者違反本辦法向境外提供數據的，可以向省級以上網信部門舉報。辦法的主要內容7、數據處理者何時申報數據出境安全評估？答：數據處理者應當在數據出境活動發(fā)生前申報并通過數據出境安全評估。實踐中，數據處理者宜在與境外接收方簽訂數據出境相關合同或者其他具有法律效力的文件（以下統(tǒng)稱法律文件）前，申報數據出境安全評估。如果在簽訂法律文件后申報評估，建議在法律文件中注明此文件須在通過數據出境安全評估后生效，以避免可能因未通過評估而造成損失。8、企業(yè)申報數據出境安全評估的結果可能有哪幾類？

8、答：一是申報不予受理。對于不屬于安全評估范圍的，數據處理者接到國家網信部門不予受理的書面通知后，可以通過法律規(guī)定的其他合法途徑開展數據出境活動。二是通過安全評估。數據處理者可以在收到通過評估的書面通知后，嚴格按照申報事項開展數據出境活動。三是未通過安全評估。未通過數據出境安全評估的，數據處理者不得開展所申報的數據出境活動。辦法的主要內容9、對評估結果有異議如何處理？答：數據處理者對評估結果有異議的，可以在收到評估結果15個工作日內向國家網信部門申請復評，復評結果為最終結論。10、通過數據出境安全評估的結果有效期是多久？答：通過數據出境安全評估的結果有效期為2年，自評估結果出具之日起計算。有效期

9、屆滿，需要繼續(xù)開展數據出境活動的，數據處理者應當在有效期屆滿60個工作日前重新申報評估。辦法的主要內容11、違反辦法如何追究法律責任？答：辦法明確數據處理者違反本辦法規(guī)定的，依照網絡安全法、數據安全法、個人信息保護法等法律法規(guī)的規(guī)定處理；構成犯罪的，依法追究刑事責任。12、對于個人信息向境外提供，安全評估與標準合同、個人信息保護認證之間的關系，三種方式如何銜接？答：辦法適用范圍已經明確，對于適用安全評估的個人信息處理者的數據出境情形應當申報安全評估；辦法適用范圍外的個人信息處理者的數據出境情形，可以通過個人信息保護認證或者簽訂國家網信部門制定的標準合同來滿足個人信息跨境提供條件，便利個人信息處

10、理者依法開展數據出境活動。辦法的主要內容辦法全文學習三第一條 為了規(guī)范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動，根據中華人民共和國網絡安全法、中華人民共和國數據安全法、中華人民共和國個人信息保護法等法律法規(guī)，制定本辦法。第二條 數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估，適用本辦法。法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。第三條 數據出境安全評估堅持事前評估和持續(xù)監(jiān)督相結合、風險自評估與安全評估相結合，防范數據出境安全風險，保障數據依法有序自由流動。第四條 數據處理者向境外提供數據，有下列情形之一的，應當通

11、過所在地省級網信部門向國家網信部門申報數據出境安全評估：（一）數據處理者向境外提供重要數據；（二）關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；辦法的全文學習（三）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；（四）國家網信部門規(guī)定的其他需要申報數據出境安全評估的情形。第五條 數據處理者在申報數據出境安全評估前，應當開展數據出境風險自評估，重點評估以下事項：（一）數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性；（二）出境數據的規(guī)模、范圍、種類、敏感程度，數據出境可能對國家安全、公

12、共利益、個人或者組織合法權益帶來的風險；（三）境外接收方承諾承擔的責任義務，以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全；（四）數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；辦法的全文學習（五）與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等（以下統(tǒng)稱法律文件）是否充分約定了數據安全保護責任義務；（六）其他可能影響數據出境安全的事項。第六條 申報數據出境安全評估，應當提交以下材料：（一）申報書；（二）數據出境風險自評估報告；（三）數據處理者與境外接收方擬訂立的法律文件；（四）安全評估工作需

13、要的其他材料。第七條 省級網信部門應當自收到申報材料之日起5個工作日內完成完備性查驗。申報材料齊全的，將申報材料報送國家網信部門；申報材料不齊全的，應當退回數據處理者并一次性告知需要補充的材料。國家網信部門應當自收到申報材料之日起7個工作日內，確定是否受理并書面通知數據處理者。辦法的全文學習第八條 數據出境安全評估重點評估數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險，主要包括以下事項：（一）數據出境的目的、范圍、方式等的合法性、正當性、必要性；（二）境外接收方所在國家或者地區(qū)的數據安全保護政策法規(guī)和網絡安全環(huán)境對出境數據安全的影響；境外接收方的數據保護水平是否達到中華人

14、民共和國法律、行政法規(guī)的規(guī)定和強制性國家標準的要求；（三）出境數據的規(guī)模、范圍、種類、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險；（四）數據安全和個人信息權益是否能夠得到充分有效保障；（五）數據處理者與境外接收方擬訂立的法律文件中是否充分約定了數據安全保護責任義務；（六）遵守中國法律、行政法規(guī)、部門規(guī)章情況；辦法的全文學習（七）國家網信部門認為需要評估的其他事項。第九條 數據處理者應當在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務，至少包括以下內容：（一）數據出境的目的、方式和數據范圍，境外接收方處理數據的用途、方式等；（二）數據在境外

15、保存地點、期限，以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施；（三）對于境外接收方將出境數據再轉移給其他組織、個人的約束性要求；（四）境外接收方在實際控制權或者經營范圍發(fā)生實質性變化，或者所在國家、地區(qū)數據安全保護政策法規(guī)和網絡安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導致難以保障數據安全時，應當采取的安全措施；（五）違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式；辦法的全文學習（六）出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時，妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。第十條 國家網信部門受理申報后，

16、根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行安全評估。第十一條 安全評估過程中，發(fā)現數據處理者提交的申報材料不符合要求的，國家網信部門可以要求其補充或者更正。數據處理者無正當理由不補充或者更正的，國家網信部門可以終止安全評估。數據處理者對所提交材料的真實性負責，故意提交虛假材料的，按照評估不通過處理，并依法追究相應法律責任。第十二條 國家網信部門應當自向數據處理者發(fā)出書面受理通知書之日起45個工作日內完成數據出境安全評估；情況復雜或者需要補充、更正材料的，可以適當延長并告知數據處理者預計延長的時間。評估結果應當書面通知數據處理者。辦法的全文學習第十三條 數據處理者對評估結果有異

17、議的，可以在收到評估結果15個工作日內向國家網信部門申請復評，復評結果為最終結論。第十四條 通過數據出境安全評估的結果有效期為2年，自評估結果出具之日起計算。在有效期內出現以下情形之一的，數據處理者應當重新申報評估：（一）向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發(fā)生變化影響出境數據安全的，或者延長個人信息和重要數據境外保存期限的；（二）境外接收方所在國家或者地區(qū)數據安全保護政策法規(guī)和網絡安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形、數據處理者或者境外接收方實際控制權發(fā)生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的；（三）出現影響出境數據安全的其他情形。有效期屆滿，需要繼續(xù)開展數據出境活動的，數據處理者應當在有效期屆滿60個工作日前重新申報評估。辦法的全文學習第十五條 參與安全評估工作的相關機構和人員對在履行職責中知悉的國家秘密、個人隱私、個人信息、商業(yè)秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供、非法使用。第十六條 任何組織和個人發(fā)現數據處理者違反本辦法向境外提供數據的，可以向省級以上網信部門舉報。第十七條 國家網信部門發(fā)現已經通過評估的數據出境活動在實際處理過程中不再符合數據出境安全管理要求的，應當書面通知數據處理者終止數據出境活動。數據處理者需要繼續(xù)開展數據出境活動的，應當按照要求整